- Veronika Beňová
- 6 min čtení
Cyber Resilience Act (zkráceně CRA) je nové nařízení EU o kybernetické odolnosti digitálních produktů, o kterém teď pravděpodobně uslyšíte čím dál častěji. Od 11. prosince 2027 totiž budou muset výrobci, dovozci a distributoři uvádět na trh EU jen takové produkty s digitálními prvky, které splní nové požadavky na kybernetickou bezpečnost. Co všechno patří mezi produkty s digitálním prvkem? Koho se CRA týká a jaké povinnosti přináší?
Co je to CRA a proč nařízení vzniklo?
Na evropský trh se dostávají produkty s nedostatečnou úrovní kybernetické bezpečnosti, například s výchozími slabými hesly, bez možnosti aktualizace nebo s jinými bezpečnostními chybami, o které se výrobce dále nezajímá. Spotřebitelé navíc nemají žádný jednoduchý způsob, jak poznat, jestli je produkt, který kupují, bezpečný. Vedle toho výrobce dosud často nenesl jasně vymahatelnou odpovědnost za kybernetickou bezpečnost produktu po jeho uvedení na trh.
Nařízení CRA proto nastavuje jednotné minimální požadavky na kybernetickou bezpečnost pro všechny produkty s digitálními prvky uváděné na trh EU bez ohledu na to, odkud výrobce pochází. Tyto požadavky zahrnují například stanovení doby, po kterou bude výrobce produkt podporovat a vydávat bezpečnostní aktualizace, nebo informovat zákazníky o zranitelnostech či incidentech. Cílem CRA je tak hlavně zvýšit základní úroveň kybernetické bezpečnosti digitálních produktů na evropském trhu.
Jaké produkty CRA reguluje?
CRA reguluje tzv. „produkty s digitálními prvky“. To znamená jakýkoli hardwarový nebo softwarový produkt schopný připojení k síti nebo jinému zařízení, včetně funkcí zpracování dat na dálku. V praxi to mohou být routery, IP kamery, chytré spotřebiče, průmyslové senzory, antivirové programy, mobilní aplikace nebo ERP systémy, ale klidně i například chytré hračky nebo software, který si interně vyvíjíte a prodáváte zákazníkům.
CRA se vztahuje na produkty s digitálními prvky uváděné na trh EU. Produkt je na trh uveden ve chvíli, kdy ho výrobce poprvé zpřístupní k distribuci nebo prodeji na území EU, ať už přes distributora či dovozce, nebo jej prodá přímo zákazníkovi. U softwaru může jít o uvedení na trh i tehdy, když je zpřístupněn online ke stažení nebo je poskytován spolu se vzdálenou službou nezbytnou pro jeho fungování.
Neplatí tedy, že pokud jste produkt uvedli na trh před účinností CRA, jste automaticky z obliga. Pokud ho chcete dál prodávat, tedy dál „uvádět na trh“, povinnosti z CRA na vás stejně dopadají.
Rizikové kategorie produktu
CRA dělí produkty s digitálními prvky do čtyř kategorií podle míry rizika. Detailněji se této klasifikaci budeme věnovat v příštích článcích. Zkráceně ale platí: čím vyšší riziko produkt představuje, tím přísnější nároky na jeho ověření se na něj vztahují. Rozdíl je hlavně v tom, zda si bezpečnost produktu může výrobce ověřit sám, nebo zda musí zapojit nezávislou třetí stranu.
Ostatní produkty s digitálními prvky (naprostá většina trhu) – výrobce si bezpečnost produktu ověří sám.
Důležité produkty třídy I (například správci hesel, prohlížeče, VPN nebo routery pro domácí použití) – bezpečnost musí ve většině případů ověřit nezávislá třetí strana.
Důležité produkty třídy II (například firewally nebo hypervizory) – zapojení nezávislé třetí strany je povinné vždy.
Kritické produkty (například hardwarová bezpečnostní zařízení nebo čipové karty) – vyžadují evropskou certifikaci kybernetické bezpečnosti podle Aktu o kybernetické bezpečnosti.
Koho se CRA týká?
CRA rozlišuje tři hlavní role – výrobce, dovozce a distributora. Každá z těchto rolí nese jinou míru odpovědnosti.
Výrobce nese hlavní odpovědnost. Musí zajistit bezpečnost produktu po celou dobu jeho podpory (minimálně 5 let, nebo po dobu očekávané životnosti produktu, je-li kratší). Zároveň musí opatřit produkt označením CE a vypracovat technickou dokumentaci prokazující, jak bezpečnost zajištil. Pokud sídlí mimo EU a nemá v EU vlastní provozovnu, musí mít v EU svého zástupce, který za něj plní regulatorní povinnosti vůči evropským úřadům.
Dovozce musí před uvedením produktu na trh ověřit, že výrobce splnil své povinnosti. Tedy že má k produktu vypracovanou technickou dokumentaci, splňuje bezpečnostní požadavky a je správně označen. Pozor ale: pokud dovozce uvádí produkt pod vlastním jménem nebo ho podstatně modifikuje, přebírá roli výrobce se vším, co k tomu patří.
Distributor má omezenější odpovědnost. Sám bezpečnost produktu neověřuje, ale před tím, než ho uvede na trh, musí zkontrolovat, že nese označení CE, má přiloženou potřebnou dokumentaci a je správně označen. Pokud má důvod se domnívat, že produkt požadavky nesplňuje, nesmí ho uvést na trh.
Jaké požadavky CRA vyžaduje?
Tím nejdůležitějším je, že produkty musí být bezpečné už při uvedení na trh. V praxi to znamená, že výrobce musí zajistit bezpečnou výchozí konfiguraci, například silná výchozí hesla nebo jejich povinné nastavení při prvním spuštění, šifrovanou komunikaci a možnost produkt aktualizovat. Zároveň musí vypnout nebo odstranit vše, co produkt ke svému fungování nepotřebuje – funkce, porty nebo rozhraní.
Povinnosti ale nekončí samotným prodejem. Výrobci musí aktivně spravovat bezpečnostní slabiny (zranitelnosti) a vydávat bezpečnostní aktualizace (záplaty), a to zdarma po celou dobu podpory.
Součástí povinností je také hlášení závažných incidentů a bezpečnostních chyb. Výrobci musí závažné bezpečnostní incidenty a aktivně zneužívané zranitelnosti hlásit agentuře ENISA ve stanovených lhůtách. Proto se vyplatí mít jasně nastavené interní postupy ještě předtím, než k něčemu dojde.
Jaké jsou sankce za nedodržení?
CRA není jen doporučení. Nedodržení pravidel má reálné důsledky. Za porušení základních bezpečnostních požadavků hrozí správní pokuta až 15 milionů eur nebo 2,5 % celosvětového ročního obratu firmy podle toho, která hodnota je vyšší. Za méně závažná pochybení, například chybějící dokumentaci nebo označení, pak pokuta až 10 milionů eur nebo 2 % obratu. Orgány dozoru nad trhem mají navíc pravomoc nařídit stažení produktu z trhu, pokud představuje závažné kybernetické bezpečnostní riziko.
Jaké termíny si pohlídat?
Účinnost CRA je rozdělena do několika fází. První část se týká povinnosti hlásit zranitelnosti a závažné incidenty. Pozor, ta začne platit už od září 2026. Zbytek nařízení se začne uplatňovat od prosince 2027.
Na první pohled to vypadá, že času je dost, ale příprava může být náročnější, než se zdá. Od zmapování produktového portfolia přes nastavení interních procesů až po přípravu dokumentace a závěrečné posouzení shody, může jít o dlouhý proces.
